Página Inicial



twitter

Facebook

  Notícia
|

 

POR QUE A GLOBALSIGN ACERTOU AO SUSPENDER NOVOS CERTIFICADOS DIGITAIS

13/09/2011

Quando você trabalha no setor de segurança, reputação é tudo. A empresa GlobalSign, que atua como autoridade certificadora na Internet, suspendeu a emissão de novos certificados digitais enquanto aguarda o resultado da investigação sobre a afirmação de um hacker que disse ter comprometido a segurança da empresa. 

Nesta segunda-feira (12/9), a empresa afirmou que vai começar a colocar seus serviços no ar, mas os pedidos de novos certificados só deverão ser aceitos a partir de amanhã, terça-feira (13/9).

De qualquer forma, a transparência e a resposta rápida ajudam a manter a reputação da GlobalSign como líder do mercado de certificados de autorização, a posiciona como a opção ideal para quem procura certificados de autorização para seus negócios e jogam uma luz nos atributos que as empresas devem olhar na hora de escolher uma autoridade certificadora para seu site.

1::O que as autoridades certificadoras fazem?

Uma autoridade certificadora emite certificados que atestam a condição de ambiente seguro para sites, códigos, documentos, objetos, e-mail, ou qualquer outra forma de comunicação eletrônica ou programação. O produto mais comum - e que até uma pequena empresa costuma conhecer - é o certificado SSL, que a GlobalSign define como "criptografia SSL/TLS e atestado de identidade para sites web".

SSL é a sigla de  "Secure Sockets Layer"  (camadas de soquetes de segurança) e TSL significa "Transport Layer Security" (camada de segurança de transporte). Ambos são protocolos de comunicação para a transmissão segura de informações por meio da Internet e, em geral, são usados para transmissão de pedidos, pagamentos e informações de identidade. O comprometimento da certificação subjacente pode significar que todas essas informações também estão comprometidas. É por isso que a GlobalSign está levando muito a sério a situação e não está emitindo novos certificados até que o caso seja completamente investigado.

Um selo ou sinal de que um site é protegido por um certificado desse tipo geralmente anda de mãos dadas com a compra de um produto certificado. Em seu vídeo promocional, a GlobalSign fala sobre seu Passaporte para Sites e as razões pelas quais as empresas devem ter esse tipo de proteção em seus sites.

2::Devo pensar em comprar um certificado para o meu site?

Se você trabalha com formas de pagamento em seu site, deveria considerar o uso de um certificado. A maioria das autoridades certificadoras, incluindo a GlobalSign, afirma que elevadas taxas de vendas são resultado direto da instalação de um certificado e de um selo de confiança correspondente no seu site.

De acordo com um estudo independente de Milena Head e Hassanein Khaled, da DeGroote School of Business, os consumidores "têm uma experiência significativa no mercado tradicional, mas podem não estar tão familiarizados ou confortáveis no mercado online. Consumidores individuais diferem no modo como percebem a ?confiança? de um site e no ritmo em que conquistam a confiança necessária para iniciar transações com um vendedor online."

3::O que exatamente motivou a GlobalSign a suspender os certificados de novo?

Um hacker que se autodenomina "Comodohacker" afirmou que teve acesso a sistemas da GlobalSign e de três empresas semelhantes. Ele invadiu outra autoridade de certificação, a DigiNotar, na semana passada. Devido a outros ciberataques contra a Diginotar no passado, a maioria dos navegadores não aceita mais certificados da empresa. De acordo com Steve Waite, diretor de marketing da GlobalSign, a empresa nomeou a Fox-IT para ajudar na investigação, devido ao seu envolvimento anterior com a investigação da invasão da DigiNotar.

4::Devo me preocupar se a GlobalSign for minha provedora de certificados?

Se acontecesse algo, gostaria de saber que meus certificados eram da GlobalSign. Eles declararam publicamente que estão levando a situação a sério. A verdade é que as empresas de certificação estão no negócio da segurança na Internet e, por isso, estão constantemente se defendendo contra hackers. Além disso, o Comodohacker declarou ter acesso aos sistemas da GlobalSign, e esta afirmação ainda não foi devidamente investigada pela empresa.

5::Quais fatores devem ser considerados ao escolher uma fornecedora de certificados?

Há muitas empresas de certificação por aí e escolher uma em detrimento de outra pode ser difícil. Há vários fatores a considerar ao fazer a escolha. A extensão de verificação de identidade quando o certificado é inicialmente emitido é um fator muito importante. As empresas de certificação não devem apenas confiar nas informações dadas a eles pelas companhias, mas, sim, consultar registros de terceiros, como os da Dun & Bradstreet, para uma verificação independente.

O custo é outro fator. Uma autoridade certificadora que tem no preço seu principal apelo simplesmente não terá fõlego financeiro para aplicar em proteções contra ameaças de segurança. No caso de um certificado de segurança de Internet de baixo custo, você realmente recebe pelo que paga. A maioria das empresas de certificação oferece soluções com preços apropriados para as pequenas empresas. Se o preço for muito baixo quando comparado com empresas similares, seu desconfiômetro deverá disparar e você vai precisar investigar mais antes de comprar a solução barata.

Você também precisa pensar sobre quem fará a instalação e quais são os custos associados. Se você não tiver preparo técnico, é provável que a autoridade certificadora ofereça um serviço de instalação. Isso deve ser considerado em todos os orçamentos.

6::É possível testar antes de comprar?

As autoridades de certificação certamente vão dar exemplos de empresas e sites que estão usando seus serviços. Teste alguns deles usando o Chrome, Firefox e Internet Explorer para se certificar de que diferentes navegadores aceitam seu certificado. Informe a empresa sobre problemas com certificados, mesmo que pareçam de pouca relevância.

A GlobalSign fez a coisa certa ao suspender novos certificados com base na ameaça do Comodohacker. Isso colocou a companhia de frente para o problema e a posicionou como uma empresa digna de confiança para gerenciar corretamente ameaças de segurança. Eu ficaria muito mais preocupado se uma companhia de certificação não mostrasse pelo menos o mesmo nível de preocupação (ou pior, se nem se preocupasse).

O Comodohacker e outras ameaças como essa não diminuem a importância dos certificados de segurança. Eles acabam servindo como exemplos da necessidade real de serviços como esse, especialmente na atual temporada de cibercrimes.
 
 
 
 
Fonte: IDgNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar